juin
2010
Un article de Michaël
Parfois, on arrive sur un serveur que l’on doit migrer vers un autre et cette migration inclut celle des certificats. Selon la configuration des modèles de certificats et de leur provenance, la clé privée peut être marquée comme non exportable. Voyons comment on peut s’en sortir 
Lors de la tentative d’exportation, vous aurez ceci :
On pourra exporter le certificat sans problème… mais il sera incomplet puisqu’il manquera la clé privée. La migration sera donc un échec.
La clé privée est stockée sur l’ordinateur. On pourrait donc l’exporter si elle n’était pas marquée comme non exportable. Il n’est pas possible de désactiver cette protection dans Windows. Il faudra passer par un produit tiers nommé Jailbreak de iSEC Partners. Sous 32 bits, vous pourrez utiliser la mmc fournie. Sous 64 bits, seul jbstore.exe est fonctionnel. N’ayant que du 64 bits, je n’ai pu tester que jbstore. L’inconvénient majeur de jbstore est qu’il exporte tous les certificats et clés privées du magasin personnel sélectionné (qu’il soit utilisateur ou ordinateur). Il faudra donc faire le ménage une fois que vous aurez importé le fichier pfx mais c’est toujours mieux que de ne pas pouvoir migrer le certificat.
Pour exporter vos certificats et clés privées, il faudra exécuter :
jbstore /computer myserver.pfx M0tdePa$$e
- /computer : désigne le magasin personnel de l’ordinateur. Changez en /user pour utiliser le magasin personnel de l’utilisateur exécutant jbstore
- myserver.pfx : désigne le fichier dans lequel seront stockées les clés
- M0tdeP@$$se : mot de passe protégeant les clés. Il doit être très long (une phrase sans espaces) et complexe (caractères spéciaux, chiffres)
Pour exporter le magasin personnel de l’ordinateur, vous devrez être administrateur local de la machine.
Et voilà, il ne vous reste plus qu’à importer le fichier pfx sur votre machine cible 